plusieurs sme 7 sur le reseau (PDC et BDC)!

[oblooblo2000]

Bonjour a tous,

je viens vous exposez un petit problèmes/questionnement pour récolter vos expériences.

Je suis en train de mettre en place un système avec IPCOP FW et 2 sme en serveur juste derrière! Un s'occupant des applications SERVEUR-A (pdc, web, mail, crm, groupware, fax...) l'autre de la gestion de données utilisateurs SERVEUR-B!!

comment synchroniser les deux serveurs de la meilleur des manières:

a/ fichiers: avec "mount -t nfs" + fichier export modifé, avec "mount -t smbfs" (sachant que des partages réseaux du SERVB sont montés par le servA a la connection), avec du rsync+ssh ??

b/ utilisateurs et groupes: openldap, nis, samba ???

Domage qu'il n'y ai pas d'option dans SME du style:
Serveur BDC du PDC suivant: @ IP du PDC

Merci de vos remarques.

[Gaston]

Bonjour,
moi j'ai pris l'option rsync dans un tunnel ssh avec clef dédiée sans passphrase.

mais je suis intéressé par des comparatifs smbfs et ntfs (j'ai pas cherché, pastaper)

G.

[oblooblo2000]

Bonjour,
moi j'ai pris l'option rsync dans un tunnel ssh avec clef dédiée sans passphrase.

mais je suis intéressé par des comparatifs smbfs et ntfs (j'ai pas cherché, pastaper)

G.

salut et merci de ta reponse!!
ta methode est celle la ???

Code: Tout sélectionner

[u][b]Synchronisation de fichier par rsync + ssh [/b][/u]


# Les logs dans le répertoire pour apache , mais rien d'obligatoire
test -e /var/www/sme.log && mv -f /var/www/sme.log /var/www/sme.ancien.log

# Création du fichier de log vide
touch /var/www/sme.log

# Connexion a la sme par ssh et en root par contre. Réplication du répertoire sur la debian
rsync -e ssh -avx --progress --force --ignore-errors --delete root@IPSME:/CHEMIN/Vers/libay/* /Chemin/local/deladebian/ > /var/www/sme.log 2>&1

# Envoi d'un mail du log a root de la debian
cat /var/www/sme.log | mail -s "Rsync / Backups: Logs" root

[oblooblo2000]

SME Domain Client Howto with SAMBA

Code: Tout sélectionner

Author:  Greg Zartman <greg@leiinc.com>
Contributor: 
Release supported: e-smith 4.x, SME 5.x
License: GPL
Last updated: Friday, January 17, 2003 10:06 AM
   



Problem:  You want to configure an SME server to participate as a member of either a windows domain or another SME (samba) domain.
Solution:  Follow this howto.

STEP 1:  Create a custom template fragment directory for  smb.conf:
[root@testbed /]# mkdir -p /etc/e-smith/templates-custom/etc/smb.conf/
[root@testbed /]#

STEP 2:  Copy the relevant, default,  smb.conf template fragments to the smb.conf custom template location:
[root@testbed root]# cd /etc/e-smith/templates-custom/etc/smb.conf/
[root@testbed smb.conf]#

[root@testbed smb.conf]# cp /etc/e-smith/templates/etc/smb.conf/11guestOk .
[root@testbed smb.conf]#

root@testbed smb.conf]# cp /etc/e-smith/templates/etc/smb.conf/11passwordServer .
[root@testbed smb.conf]#

root@testbed smb.conf]# cp /etc/e-smith/templates/etc/smb.conf/11preferredMaster .
[root@testbed smb.conf]#

root@testbed smb.conf]# cp /etc/e-smith/templates/etc/smb.conf/11security .
[root@testbed smb.conf]#

root@testbed smb.conf]# cp /etc/e-smith/templates/etc/smb.conf/11smbPasswdFile .
[root@testbed smb.conf]#

Note:  This step has you accessing the smb.conf custom template directory and copying then  the appropriate fragments to the current location using the "." current directory alias.

STEP 3:  Edit 11guestOk template fragment:
[root@testbed root]# pico 11guestOk

--In Pico--

{
# If this parameter is 'yes' for a service, then no password is
# required to connect to the service.
}
guest ok = yes

Save and exit pico using Ctrl-x.

STEP 4:  Edit 11passwordServer:
[root@testbed root]# pico 11passwordServer

--In Pico--

{
# Use password server option only with security = server
# ; password server = <NT-Server-Name>
}

password server = <put the NetBios name of your PDC server here>

Note:  Do not include <> around the PDC Netbios name.

Save and exit pico using Ctrl-x.

STEP 5:  Edit 11preferredMaster template fragment:
[root@testbed root]# pico 11preferredMaster

--In Pico--

{
# Preferred Master causes Samba to force a local browser election on startup
# and gives it a slightly higher chance of winning the election
}

Save and exit pico using Ctrl-x.

STEP 6:  Edit 11security template fragment:
[root@testbed root]# pico 11security

--In Pico--

# Security mode. Most people will want user level security. See
# security_level.txt for details.
}
security = domain

Save and exit pico using Ctrl-x.

STEP 7:  Edit 11smbPasswdFile template fragment:
[root@testbed root]# pico 11smbPasswdFile

--In Pico--

#smb passwd file = /etc/smbpasswd

Save and exit pico using Ctrl-x.

STEP 8:  Create a WINS server entry in the configuration database:
[root@testbed root]# /sbin/e-smith/db configuration setprop smb WINSServer <IP Address of your PDC>
[root@testbed root]#

Note:  Do not include <> around the WINS Server IP address.  Also not that the WINS server IP address is almost always the IP address of the PDC.

STEP 9:  Expand /etc/smb.conf template fragments:
[root@testbed root]# /sbin/e-smith/expand-template /etc/smb.conf
[root@testbed root]#

STEP 10:  Add this SME machine to the desired domain:
[root@testbed root]# smbpasswd -j <domain> -r <PDC netbios name> -U <domain admin username>
Password:
Joined domain <domain>.
[root@testbed smb.conf]#

Note:  Do not include <> around the domain, PDC netbios name, or domain admin username.  Also note that the domain admin username is the username that is used to grant domain privileges.  If another SME server is the PDC, then the domain admin username is "admin."

STEP 11:  Restart samba:
[root@testbed smb.conf]# /etc/rc.d/init.d/smb restart
Shutting down SMB services: [ OK ]
Shutting down NMB services: [ OK ]
Starting SMB services: [ OK ]
Starting NMB services: [ OK ]
[root@testbed smb.conf]#

Thats it!!  You should now be able to browse and access shares on the SME domain client from other authenticated domain clients.

Personnellement, j'ai essayé, avec qques retouche comme le chemin /etc/samba/smb.conf, pour l'adapter a la sme7, mais au moment de joindre le domaine avec net join, j'ai un: NT_STATUS_ACCESS_DENIED

En allant voire sur le log samba: get_md4pw: Workstation ACF-DATA$: no account in domain

J'ai essayé de joindre l'ordi en local au domaine, mais sans reussite !! A suivre !!

Perso, a terme je penses tout mettre en autenthification LDAP + surement rsync+ssh !! Mais pour l'instant, pas de synchro d'user + groupe, donc pour les droits, les definir sur l'autre machine va être galère !! Ca me saoule de devoir mettre du nis vu que ca sera temporaire !!

[sibsib]

Hello,

Dans le genre "Grosse bidouille Grasse", si tu t'arranges pour que la crétion d'un user sur SME A génère automagiquement la création du même user sur SME B (pareil pour modif - suppression), est ce que çà peut le faire ?

Dans ce cas (idée pas testée du tout, warning !) il faudrait modifier sur SME A les différentes actions existantes pour qu'elles se 'reproduisent' sur SME B.

Je m'explique : l'interface WEB sous SME ne sert qu'à faire de la saisie, et de la mise à jour de base de données. Toutes les actions sont générées par des scripts 'actions'.

En supposant que la liste des lancements d'actions soient connus, alors, modif :

au lieu de account-update :
scp /home/e-smith/db/accounts smeb:/home/e-smith/db/accounts
ssh smeb:/etc/e-smith/events/actions/user-update (path à vérifier, donné de mémoire)
traitement du code retour du ssh, pour être sûr que le compte s'est créé sur SMEB
user-update local

Il y a du taf, mais çà me parait jouable, et je pense qu'il y a du monde intéressé !

A+,
Pascal

[oblooblo2000]

bouerkkkkk !!!!

tu me fait peur sibsib !! Ca craint ton truc !! Mais bon a la limite il "suffit" de logger les commandes, les rsync avec le 2eme sme et lancer le scripts !!!!

Mais bon !!!

Moi je pensais a une vrai delegation (interrogation ldap du client, ou via nis...) + nfs
ou tout par samba, mais pour avoir des droits un peu plus fins, il faudra les utilisateurs sur le disque de la deuxieme SME!!

J crois pas etre tres clair !!


Pour resummé il n'y a pas de solution simple en GROS ????

[Grand-Pa]

En résumé, non. En revanche, la v7.1 pourrait répondre plus facilement à ce genre de besoin, si j'ai bien lu entre les lignes...
Mais bon, pas de quoi se réjouir non plus : aucune date n'a été avancée ni ses spécifications de façon officielle.

[oblooblo2000]

franchement je trouve que c'est abusé qu'il n'y est pas la possibilité de mettre 2 sme sur un réseau (une pour les soft et une pour les données par exemple en serveur only) sans la possibilité d'une base de nom commune !!

En clair, quel est la meilleure methode a appliquer donc pour que le netlogon de la sme map les repertoires de la sme1 et de la sme2 indifferement sur les postes clients (windows) et que l'auhentification se fasse ??
Je penses utiliser du lazy admin tool tout de suite histoire de le rendre opérationnel dans un premier temps, puis je passerai a du ldap avec samba par authentification ldap!

Apres soit j'integre un "net use" vers les ibays du sme2, soit je monte les partages du sme2 dans la sme1 (mount -t smbfs -o username=”user” //serveur/ibay /mnt/point_montage) pour finalement faire un "net use" du sme1!

Niveau securite je me demande qu'elle solution est la meilleure, car j'ai peur que le mount -t smbfs envoi les pass en clair ??

[oblooblo2000]

je viens de tester, si on a le meme compte avec le meme password sur les deux... sme, on a acces aux ibays, partage personnel... de manière transparente !

par contre je me demandais, j'ai mis les deux sme sous le même domaine. Une en controleur de domaine actif+ dhcp, l'autre désactivé. PAr contre les deux on un site web www.domaine.fr se qui me gène un peu quant meme !!
la méthode est t'elle de supprimer dans http.conf la référence de l'un des domaine (dans le template)!!

@ plus !

[unnilennium]

tu peux eventuellement utiliser le deuxieme en sous domaine: regarde ceci: http://smeserver.pialasse.com/index.php ... CAL_GLOBAL

la partie pour identifier le sme server only en hote sur le sme passerelle , apres ton deuxieme sme utilisera le domaine sous.domaine.fr (et www.sous.domaine.fr accessoirement) , et le principale sme www.domaine.fr

pour enfoncer le clou oui, la possibilité d'avoir un service partagé entre 2 sme peut interesser beaucoup de monde, surtout à l'heure ou des contribs comem backupcc arrivent ou quand le traffic d'un sme commence à grossir

JP

[oblooblo2000]

sachant que moi j'ai j'ai un ipcop et derriere 2 sme en server only !!
Voulant que les deux sme soit sur le meme domaine (dans voisinnage réseau), cela va t'il marcher!!! A voire si les partages fonctionnent également de manière transparente !!!

[unnilennium]

ils sont sur quelle interface de l'ip cop ?

[oblooblo2000]

green

[jibe]

Salut,

Je n'avais pas vu ce post super-intéressant, et qui de plus va dans le sens de mes théories !

Un peu pressé, j'ai lu entre les lignes et ne vais donc pas trop m'aventurer à donner des avis. Juste deux petites choses :
- Pourquoi les deux SME dans le LAN ? J'aurais regroupé les fonctions WAN sur l'une que j'aurais mise en DMZ de l'IPCop, et sur l'autre toutes les fonctions qui sont accessibles côté LAN...
- Pourquoi sembles-tu ne pas aimer la solution de sibsib, oblooblo2000 ? Perso, elle ne me parait ni si compliquée ni si potentiellement dangereuse que ça. Juste un truc à se méfier : les possibles interractions entre la création par script des user et les possibles mises à jour concurrentes par rsync. Mais cela me semble aussi simple à régler... Mais peut-être que je n'ai pas assez réfléchi au problème et que quelque chose m'échappe ?

[oblooblo2000]

Salut,

Je n'avais pas vu ce post super-intéressant, et qui de plus va dans le sens de mes théories !

Un peu pressé, j'ai lu entre les lignes et ne vais donc pas trop m'aventurer à donner des avis. Juste deux petites choses :
1- Pourquoi les deux SME dans le LAN ? J'aurais regroupé les fonctions WAN sur l'une que j'aurais mise en DMZ de l'IPCop, et sur l'autre toutes les fonctions qui sont accessibles côté LAN...
2- Pourquoi sembles-tu ne pas aimer la solution de sibsib, oblooblo2000 ? Perso, elle ne me parait ni si compliquée ni si potentiellement dangereuse que ça. Juste un truc à se méfier : les possibles interractions entre la création par script des user et les possibles mises à jour concurrentes par rsync. Mais cela me semble aussi simple à régler... Mais peut-être que je n'ai pas assez réfléchi au problème et que quelque chose m'échappe ?

salut,
1- en fait j'ai voulu separé l'applicatif LOCAL du stockage de données ! Un des serveurs possede le serveur de fax, crm, ldap privé, site local, PDC, mail, sauvegarde..., l'autre stocke en raid1 sata les données utilisateurs. MAis ton idee est pas mal surtout avec du jooomla couplé a du vtiger.

2- je n'aime pas le double emploi de cette solution, meme si je l'ai appliquée faute de temps pour mettre en place l'authentification ldap ! En fait, j'ai utiliser lazyadmintool pour reconstruire mes users + groupes. Puis j'ai installlé la contrib smeserver-sme7admin-1.1.0-1.noarch.rpm pour definir des netlogon par groupe et users. Enfin, le deuxieme sme n'est pas controleur de domaine, et j'ai desactiver tous les nom de domaine sauf celui
ordinateur.domaine.fr
Le netlogon map les repertoires personnels et ibays de la deuxieme sme alors que l'applicatif est dissocier.


Je preferai comme ca aller savoir pkoi ??
Pour sibsib, il l'as dit lui meme c'est gras et c'est pas centralisé !! aller rajouter un user... un groupe... ca devient lourd !!

@ plus